Clone2Leak, een nieuw geïdentificeerde reeks kwetsbaarheden in GIT en zijn ecosysteem, vormt aanzienlijke risico’s voor ontwikkelaars door fouten te exploiteren in credentiële managementprotocollen. Ontdekt door beveiligingsonderzoeker Ryotak van GMO Flatt Security, kunnen deze kwetsbaarheden aanvallers in staat stellen om opgeslagen referenties te lekken en toegang te krijgen tot gevoelige repositories. Hoewel patches zijn vrijgegeven om de problemen aan te pakken, benadrukken de onthullingen het belang van waakzaamheid bij het beveiligen van ontwikkelingstools.
Clone2Leak exploiteert de fouten van Git
De Clone2Leak -aanval is gebaseerd op onjuiste parsing van authenticatieverzoeken van GIT en de bijbehorende tools, zoals GitHub Desktop, Git LFS, GitHub CLI en Git Credential Manager. Inreferentie -helpers, ontworpen om de authenticatie te vereenvoudigen, werden de aanvalsvector vanwege hun mishandeling van speciaal vervaardigde URL’s. Elke kwetsbaarheid legt een unieke weg bloot voor aanvallers om te exploiteren.
“Bij het gebruik van een helper van een referenties gebruikt Git een op lijngebaseerd protocol om informatie tussen zichzelf en de referentiehelper door te geven. Een speciaal vervaardigde URL met een rijtjesretour kan worden gebruikt om onbedoelde waarden in de protocolstroom te injecteren, waardoor de helper het wachtwoord voor de ene server ophaalt terwijl het naar de andere wordt verzonden, ” GitHub staten.
De eerste categorie van aanval, bekend als koker voor koets, werd gevolgd als CVE-2025-23040 En CVE-2024-50338. Deze kwetsbaarheden hadden invloed op Github Desktop en Git Credential Manager, waarbij een `%0d` -personage ingebed in een kwaadaardige URL de tools kan misleiden om referenties te verzenden naar een ongeautoriseerde server. Volgens Ryotakdeze fout gebruikte discrepanties in de manier waarop GIT en zijn helpers koets konden verwerken in authenticatieverzoeken.
Een andere aanvalsmethode omvatte Newline -injectie (CVE-2024-53263), die de clementie van Git LFS exploiteerde bij het omgaan met nieuwe tekens (` n`) in` .lfsconfig’ -bestanden. Aanvallers konden referentieverzoeken manipuleren om de antwoorden van Git op kwaadaardige servers om te leiden. Ten slotte, logische fouten in het ophalen van referenties (CVE-2024-53858) gerichte GitHub CLI en codespaces. Deze tools hadden overdreven tolerante referentiegehelten, waardoor aanvallers authenticatietokens konden omleiden door gebruikers te lokken om kwaadaardige repositories te klonen.
Het verminderen van de risico’s van Clone2Leak
Alle geïdentificeerde kwetsbaarheden zijn nu aangepakt via patches. Gebruikers worden aangespoord om hun tools bij te werken naar de volgende veilige versies: Github Desktop 3.4.12 of nieuwere, Git Credential Manager 2.6.1 of nieuwer, Git LFS 3.6.1 of hoger, en GitHub CLI 2.63.0 of later. Bovendien Git versie 2.48.1 oplossen Een gerelateerd probleem (CVE-2024-52006), die voorkomt dat urls met koetsreizen worden verwerkt.
Om de risico’s verder te verminderen, wordt ontwikkelaars geadviseerd om Git’s `defence.protectProtocol’ -instelling mogelijk te maken. Deze configuratie voegt een extra laag van verdediging toe tegen aanslagen in de referentie. Andere aanbevelingen zijn onder meer het controleren van referentiegebonden configuraties en het uitoefenen van voorzichtigheid bij het klonen van repositories, met name die welke inloggegevens nodig zijn.
“Met behulp van een kwaadwillig vervaardigde URL is het mogelijk om het inlogverzoek van Git verkeerd te laten interpreteren door GitHub Desktop, zodat het inloggegevens voor een andere host zal sturen dan de een Git die momenteel communiceert,” legde GitHub uit in een adviseringsadres. CVE-2025-23040. De verklaring onderstreept de potentiële ernst van het probleem, zelfs als fixes zijn geïmplementeerd.
9 Beveiligingsfouten opgelost in iOS 18.3: Moet u nu Apple Intelligence vertrouwen?
Systemische problemen in het management
Clone2Leak is geen geïsoleerd incident, maar een weerspiegeling van systemische zwakke punten in hoe GIT en zijn tools omgaan met authenticatieprotocollen. De kwetsbaarheden hebben het tekstgebaseerde referentieprotocol van Git uitgebuit, dat afhankelijk is van nieuwe, gescheiden sleutelwaardeparen voor communicatie. Hoewel er beschermingen bestaan om injectie in de eigendom te voorkomen, creëerden discrepanties in parsing -gedrag exploiteerbare hiaten.
Bijvoorbeeld, Github Desktop en Git Credential Manager verkeerd geïnterpreteerde rijtjes -retour -tekens, terwijl Git LFS niet in de configuratiebestanden ingebedde nieuwe lijntekens niet valideert. Met deze toezicht konden aanvallers kwaadaardige URL’s maken die in staat zijn om referenties te exfiltreren.
De bevindingen van Ryotak onthullen ook hoe omgevingsvariabelen in GitHub -codespaces bijgedragen aan de fouten. Door `codespaces` op ’true’ in te stellen, kunnen aanvallers ervoor zorgen dat gekloonde repositories automatisch toegang tokens lekten naar ongeautoriseerde hosts. Deze inzichten benadrukken de behoefte aan rigoureuze validatie van parameters in inlogprotocollen.
“Wanneer Git inloggegevens interactief moet invullen zonder het gebruik van een helper van een referentie, drukt deze de hostnaam af en vraagt de gebruiker om het juiste gebruikersnaam/wachtwoordpaar voor die host in te vullen. Git drukt echter de hostnaam af na URL-decodering, ”merkte GitHub op in zijn uitleg over CVE-2024-50349. De kwetsbaarheid, nu gepatcht, is een voorbeeld van hoe subtiele fouten in het ontwerp kunnen leiden tot aanzienlijke beveiligingsrisico’s.
